Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Temporäre Adminrechte

Frage Microsoft Windows Userverwaltung

Mitglied: lionking

lionking (Level 1) - Jetzt verbinden

17.09.2009, aktualisiert 18.10.2012, 10061 Aufrufe, 12 Kommentare

Folgender Fall:

Etliche Mitarbeiter unserer Firma sind bundesweit unterwegs. Jetzt kommt es natürlich mal vor, dass die ein oder andere Software aktualisert werden muss bzw. komplett neu installiert werden soll.
Die Mitarbeiter haben auf den Notebooks zwei lokale Benutzer, einen beschränkten und einen mit Adminrechten.
Ich suche nun eine Möglichkeit, den Mitarbeitern die Adminrechte zu entziehen, ihnen aber trotzdem die Möglichkeit für Installationen zu geben.

Wir haben zwar eine Online-Verbindung zu den Mitarbeitern, aber aufgrund der teilweise recht niedrigen Geschwindigkeit ist es nicht möglich, Installationen per Fernwartung durchzuführen.

Gibt es Möglichkeiten oder Tools, die es erlauben, den Mitarbeitern für eine bestimmte Aktion Admin-Rechte zu geben?
Ich stelle mir sowas wie einen zeitlich beschränkt gültigen Key oder ähnliches vor.

Danke für eure Hilfe.
Mitglied: mrtux
17.09.2009, aktualisiert 18.10.2012
Hi !

Mit der Suchfunktion des Forums, hättest Du diesen Tipp gefunden. Dort verweise ich auf das Tool "SURUN", mit dem Du sowas im Handumdrehen realisieren kannst. Man kann "SURUN" den persönlichen Wünschen anpassen, dass z.B. nur die "UPDATE.EXE" einer Anwendung mit Adminrechten gestartet wird und nicht die Anwendung selbst oder man kann "SURUN" vor dem Benutzer verstecken, so dass dieser sich die Adminrechte nicht einfach so holen kann, sondern nur von Administrator vorgegebene Anwendungen mit Adminrechten gestartet werden können.

Auf der Homepage des Entwicklers gibt es eine Beschreibung und ein Forum, in dem der Entwickler des Tools persönlich erreichbar ist.

Edit:
Wenn Du ohne solche Tools arbeiten willst, solltest Du dich mit "runas" auf der Windows Console beschäftigen. Der grosse Nachteil, den "runas" und das unten genannte Tool haben, man muss dem normalen User das Administrator Passwort aushändigen, was das ganze Sicherheitskonzept quasi komplett aufhebt.

mrtux
Bitte warten ..
Mitglied: ralfkausk
17.09.2009 um 14:04 Uhr
unter UNIX gibt es dafuer z.B. den sudo Befehl
inzwischen wurde dieser auch auch Windows portiert
kannst ja mal gucken ob das was fuer dich ist

http://www.pcwelt.de/start/sicherheit/archiv/43776/sudo_fuer_windows/
Bitte warten ..
Mitglied: lionking
17.09.2009 um 14:31 Uhr
Die Tools, die ihr mir hier zeigt, haben aber zur Folge, dass der Anwender sich Admin-Rechte verschaffen kann, wann er möchte.
Sprich, wenn er ein Programm installiern will, startet er es eben über eines dieser Tools und hat die benötigte Berechtigung.
Selbst, wenn ich eine Konfiguration erstellen kann, die nur das Starten eines bestimmten Programmes vorsieht, kann ich damit nicht flexibel reagieren.

Ich suche eher etwas in der Art, dass mich der Mitarbeiter kontaktiert, weil er eben Programm X installieren muss. Daraufhin nenne ich ihm einen Key (auch per Mail) die es ihm erlaubt, genau dieses eine Programm zu installieren.

Gibt man den Benutzern einmal das Kennwort für einen Admin-Account auf dem Notebook, werden sie diesen immer wieder nutzen, um private Programme usw. zu installieren. Dies möchte ich verhindern.
Dafür muss es doch eine Lösung geben.
Oder wie lösen das andere Firmen? Muss der Mitarbeiter beim Admin antraben, oder wirklich per Fernwartung?
Bitte warten ..
Mitglied: -Giraffe-
17.09.2009 um 15:10 Uhr
Hast du Zugriff auf die Notebooks wenn die Kollegen unterwegs sind?

Du könntest den User einfach in die Administratorengruppe packen, er melde sich an und macht sein Ding. Meldet er sich dann wieder ab, werden ihm automatisch die Rechte entzogen.
Bitte warten ..
Mitglied: mrtux
17.09.2009 um 16:59 Uhr
Hi !

Zitat von -Giraffe-:
Hast du Zugriff auf die Notebooks wenn die Kollegen unterwegs sind?

Du könntest den User einfach in die Administratorengruppe
packen, er melde sich an und macht sein Ding. Meldet er sich dann
wieder ab, werden ihm automatisch die Rechte entzogen.

Dann müsstest Du ihm aber gut über die Schulter bzw. den Desktop schauen, denn wenn er Adminrechte bzw. Installationsrechte hat kann er quasi ALLES tun/installieren, wo nach im der Sinn steht. Das ist also auch keine sichere Lösung!

Wenn den Mitarbeitern in dieser Hinsicht nicht über den Weg zu trauen ist, gibt es nur eine Lösung: Keine Adminrechte zuteilen! Nur die bewahrt ein System vor den "vorgelagerten" Problemen!

Es bleibt also nur die Möglichkeit der "konservativen Administration", wie die geht brauche ich (hoffentlich) nicht zu erklären, einem Administrator sollte die bekannt sein und ausserdem wurde das hier im Forum schon zigfach gefragt, kommentiert und lässt sich mit der Suchfunktion bewältigen.

Edit...oder von DWW erklären lassen.

mrtux
Bitte warten ..
Mitglied: DerWoWusste
17.09.2009 um 23:35 Uhr
Hallo lionking.
Schreib doch noch etwas mehr zum besseren Verständnis. Wie macht Ihr denn die Setups zugänglich? Oder besorgt der Benutzer sich diese selber?
Meiner Erfahrung nach ist alles aus dem Bereich surun, runasspc, runas /savecred /... ein Sicherheitsrisiko, sobald die Anwendungen, die damit gestartet werden, für den User sichtbar ablaufen. [Edit: Streich das "meiner Erfahrung nach", es ist ein Sicherheitsrisiko und benötigt noch nicht einmal einen sonderlich gewieften Anwender]
Eine Möglichkeit, Software zur Installation zu authorisieren ist das "Deployment through assignment", das Benutzergebundene Zuweisen von Anwendungen per GPO. Allerdings braucht das evtl. mehr Bandbreite, als vorhanden, da die Setups nicht lokal liegen.
Bitte warten ..
Mitglied: 81825
17.09.2009 um 23:47 Uhr
Hi,

eine Möglichkeit, für gezielt eine Anwendung (und nur für die) Administratorrechte zu setzen, ohne dass der Anwender an das Passwort kommt, bietet
pcwRunAs. Damit kann eine Verknüpfung für ein bestimmtest Programm erstellt verwerden, in der die Berechtigungsinformationen und ein Hash-Wert für das Programm verschlüsselt abgelegt sind.
Bitte warten ..
Mitglied: lionking
18.09.2009 um 00:00 Uhr
Vom Prinzip her wäre die Idee schon nicht schlecht. Eine so erzeugte Berechtigung wäre schnell per Mail verschickt.
Allerdings hat das eine Schwachstelle (habs grad probiert): Damit kann ich jedes beliebige Programm ausführen, in dem ich es einfach umbenenne.
Bitte warten ..
Mitglied: lionking
18.09.2009 um 00:11 Uhr
Die benötigte Software kommt auf unterschiedlichen Wegen zu den Mitarbeitern. Mal werden Programme von uns verteilt, mal liegen sie den Geräten bei, die benutzt werden, oder auch mal ein Download usw.

GPO haben wir hier nicht im Einsatz. Es ist aber fast unmöglich, die Setups online zu verteilen, da die Bandbreiten zu niedrig sind (teils nur GPRS verfügbar)

Daher war meine Idee ja auch, dass ich vom Mitarbeiter X die Info bekomme, was er installieren muss und ich ihm dann die entsprechende Berechtigung für diese eine Aktion gebe.
Bitte warten ..
Mitglied: DerWoWusste
18.09.2009 um 00:14 Uhr
Nein, so einfach ist es nicht, es geht ja um Hashes, wie Du lesen konntest und nicht um Namen. Jedoch kann man mit einem sichtbaren Prozess mit hohen Rechten nun ausbrechen und alles andere mit hohen Rechten starten, worauf man Lust hat, das ist das Problem. Ich hab mich mal mit dem Aufspüren solcher Schlupflöcher beschäftigt - das ist alles andere als kompliziert. Als rudimentärer Schutz ist dieser Ansatz aber der beste.
Bitte warten ..
Mitglied: 81825
18.09.2009 um 00:14 Uhr
Tja, da hat der Entwickler mit seiner Version 0.3 offenbar Mist gebaut und das auch in die 0.4 übernommen. Mit der Vorversion 0.2 klappt das aber nicht:
Umbenennen? Denkste, da läuft nichts.
http://www.myria.org/download/copy_of_product.2006-03-04.3138670228/rel ...

Edit: Ob die damit erstellte Verknüpfung allerdings nur auf dem Rechner lauffähig ist, auf dem sie erstellt wurde, kann ich nicht versichern, das musst du ausprobieren.
Bitte warten ..
Mitglied: DerWoWusste
18.09.2009 um 00:29 Uhr
Daher war meine Idee ja auch, dass ich vom Mitarbeiter X die Info bekomme, was er installieren muss und ich ihm dann die entsprechende Berechtigung für diese eine Aktion gebe
Gut, dann musst Du Dir mal das Prinzip Session Isolation anlesen. Es dürfte unmöglich sein, Deinen Wunsch sicher zu bewerkstelligen.
Zum anderen kann man die Schwierigkeit am Taskplaner verdeutlichen. Der kann benutzt werden, um dem Benutzer das Recht zu geben, Tasks (Batches/Programme) über Konten mit hohen Rechten auszuführen, ohne das Kennwort zu kennen. Jedoch sind diese Tasks per se nie interaktiv, denn sonst wären sie unsicher.
Gesetz dem Fall, man könnte dies Setup ohne Interaktion ausführen, z.B. über eine angesteuerte Batch mit setup /silent, dann kommt der nächste Haken - man kann zwar diese Batch ansteuern und der Task ist auch read only, meinetwegen sogar die Batch - aber wie willst Du das Setup, welches angesteuert werden soll, kontrollieren, wenn Du es nicht einmal selbst stellst?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Userverwaltung
gelöst Programmupdates ohne Adminrechte für die User einer Domäne (3)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Windows Server
gelöst Temporäre Clientzugriffslizenz (6)

Frage von bluepython zum Thema Windows Server ...

Netzwerke
gelöst Temporäre nicht nachvollziehbare Ausfälle im Firmennetzwerk (20)

Frage von 90498 zum Thema Netzwerke ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...